Finans Norge peker på NFCERT for svindel-løsning – og forventer at bankene skal få dele data

Finanstilsynet sendte i september et høringsnotat til Finansdepartementet rundt regler om informasjonsdeling for finansforetak. I høringsnotatet beskriver tilsynet hvordan finansforetakene jobber med informasjonsdeling i dag, og viser til Nordic Financial CERT (NFCERT). 

Her skriver Finanstilsynet at Finans Norge har opplyst om at det vurderes å utvikle et felles system for transaksjonsovervåkning og analyse, og/eller et datadelingssystem mellom bankene, da et slikt system kan bidra til å oppdage pågående svindel raskere, og bidra til å forebygge lignende svindel hos andre banker.

– For noen år siden fullførte man et felles transaksjonsovervåkningsprosjekt som i hovedsak var innrettet mot å avsløre hvitvasking. Den gangen fikk man tommel ned fra Finanstilsynet, først og fremst på grunn av regelverket om avsløringsforbud, som de vurderte at et slikt felles system ville komme i konflikt med, sier fagdirektør antisvindel Gry Nergård i Finans Norge til BankShift, på spørsmål om hvor man som bransje er i prosessen for et slikt system.

– Hva var det som gjorde at tilsynet endret syn på saken, og som gjør at de nå nevner dette i høringsnotatet sitt?

– Det var like før vi så et kraftig oppsving av svindelsaker. Den gangen var det ingen som kom på å gå videre med en felles transaksjonsovervåkning med utgangspunkt i svindel. Jeg tror årsaken er at vi ikke snakker om hvitvasking lenger, sier Nergård.

Bankene lagde egne systemer

Hun forklarer at konsekvensen da ble at mange banker startet å bygge egne transaksjonsovervåkningssystemer, for sine egne transaksjoner. Enkelte banker samarbeidet også med tredjepartsleverandører som Tioetoevry, som allerede leverte transaksjonstjenester til bankene, og satt på en del transaksjonsdata.

Sånn som Nergård ser det nå, står det derfor mellom to alternativer fremover. Enten et nytt, felles transaksjonsovervåkningssystem, som kan være vanskelig å sette opp, ettersom bankene allerede har jobbet hver for seg i flere år. Eller å koble bankene mot en aktør som kan samle og dele informasjonen. Og det er her NFCERT kommer inn.

– Da svindelen skjøt fart og vi begynte å diskutere tiltak, var bankene veldig ulike i arbeidet med egne interne systemer og hadde valgt ulike plattformer. Derfor var skepsisen større til å bygge et helt nytt, felles transaksjonsovervåkningssystem. 

– I stedet så man for seg noe man kunne koble seg til. Der kommer NFCERT inn – bankene jobber allerede sammen med dem på cybersikkerhet og for å avdekke cyberangrep, og de har fått mandat til å bistå bankene i antisvindelarbeidet. Tanken er at NFCERT kan være en aktør bankene kobler seg på og deler data gjennom, i stedet for å bygge et nytt felles system fra bunnen av, sier hun.

Juridisk eller kulturelt?

Men for å få til dette, må jussen avklares. Akkurat nå pågår det flere utredninger, blant annet gjennom høringsnotatet til Finanstilsynet, som går på hva bankene kan dele seg imellom, og hva man eventuelt kan dele med for eksempel politi og telekom. Nergård peker også på at Justisdepartementet utreder hva politiet kan dele, mens andre departementer ser på hva andre kan dele.

– Først må vi få avklart hvem som kan dele data med hvem, hvordan data kan oppbevares og brukes, og hvor lenge. Deretter må vi få på plass trygge digitale delingsplattformer, og så må kulturen på plass. Både bankene og andre aktører må ha en delingskultur og ikke sitte å ruge på data som kunne bidratt til å avsløre svindel, sier Nergård.

– Spørsmålet vi må stille oss er om begrensingene vi ser er juridiske eller kulturelle. Som det ble sagt på Finans Norges Digital Robusthet 2025, er det begge deler, legger Nergård til.

– Hvor langt har man da kommet i vurderingen av et slikt system? 

– Det er en løsning med NFCERT som er arbeidsplanen vi jobber etter, men også andre tilbydere har presentert løsninger. Ingenting er foreløpig på plass etter de behov vi har akkurat nå, men det er dette NFCERT-sporet bankene har bedt oss se på.

– Tilsynet skriver i sitt høringsnotat at Finans Norge har meddelt at NFCERT er én av løsningene. Du nevner at andre tilbydere har presentert løsninger. Hvem er disse?

– Jeg har ikke totaloversikten, men det er for eksempel Visa og Mastercard, som har stor oversikt over transaksjoner og som allerede kjører felles transaksjonsovervåkningssystemer for banker i andre land, sier Nergård.

Direktøren for antisvindel i Finans Norge påpeker at NFCERT akkurat nå er den mest realistiske løsningen, og mener det er fordelsmessig at NFCERT er en nordisk aktør, som bankene allerede har god erfaring med å dele data gjennom fra før. 

Forventer deling

Og hun er tydelig på at når så mange aktører, fra forskjellige bransjer, nå sier det samme. «Vi må få dele mer». Da forventer Nergård nettopp det.

– Etter denne høringen forventer vi at bankene får mulighet til å dele data seg imellom for å stoppe gjengangerne som svindler mange. Neste steg er å se på deling til og fra andre aktører, for eksempel teleoperatører. Kombinerer man data fra teleoperatører og banker, får man trolig langt bedre oversikt og kan stoppe mer svindel. Det samme gjelder samfunnsoppdraget opp mot offentlige etater – hvor mye kan vi dele med dem, og de med oss, for å avsløre og stoppe blant annet trygdesvindel og merverdiavgiftssvindel, sier Nergård.

– Men denne konkrete høringen handler mest om hva bankene kan dele seg imellom for å bli bedre til å stoppe dem som svindler bankkunder i stor skala, avslutter hun.